Web 安全防护

保护应用免受常见攻击至关重要。

 OWASP Top 10

 1. SQL 注入

使用参数化查询防止注入。

javascript
// ❌ 危险
query(SELECT  FROM users WHERE name = '${name}');

// ✅ 安全
query('SELECT  FROM users WHERE name = $1', name);


 2. XSS 攻击

转义用户输入，使用 Content-Security-Policy。

 3. CSRF 保护

实施同源策略和 CSRF Token。

 4. 认证安全

- 使用 bcrypt 密码哈希
- 实施多因素认证 (MFA)
- JWT 短期有效 + Refresh Token

安全无小事，大家一起学习！